Стремительный рост или клоунада — «Слетать.ру» обвинили в утечке базы

Стремительный рост или клоунада — «Слетать.ру» обвинили в утечке базы

23
0

Источник: rtournews.ru

Онлайн-сервис несет серьезные имиджевые потери на фоне сообщений об обнаружении в свободном доступе базы данных с логинами и паролями подключенных к системе турагентств.

На минувшей неделе газета «Коммерсант» со ссылкой на компанию DeviceLock (занимается защитой от утечек информации) сообщила об обнаружении в открытом доступе базы данных сервиса по подбору туров «Слетать.ру». В базе были логины и пароли нескольких сотен подключенных к системе агентств, с которыми можно войти в личный кабинет агентства и получить доступ ко всем данным поездок, включая паспортные данные клиентов и данные билетов. Кроме того, в ней содержатся данные транзакций по покупке туров, где также есть данные клиентов, информация о самих турах и их оплате, а также присутствуют минимум 11,7 тыс. адресов клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.

По словам основателя и технического директора DeviceLock Ашота Оганесяна, 15 мая компания проинформировала об этом сервис, доступ к базе был закрыт в тот же день в промежутке между 11:00 и 15:00.

Несмотря на отсутствие в скомпрометированной базе платежных данных, хранилище могло представлять интерес для злоумышленников, считают эксперты по кибербезопасности. Туристическая отрасль — конкурентный и далеко не самый высокомаржинальный бизнес, поэтому клиентские базы высоко ценятся на рынке, и для недобросовестных конкурентов база могла представлять интерес. Кроме того, при попадании информации о заказанных турах в руки злоумышленников нельзя исключать случаев фишинговых атак под видом доверенного турагента.

Узнав подробные сведения о предстоящих поездках, злоумышленник может связаться с покупателем путевки, представившись сотрудником турагентства, и попросить провести дополнительную оплату, например, включив в тур новые услуги или сославшись на изменения в стоимости. Другой вариант использования данных — таргетированные рассылки рекламных предложений.

В «Слетать.ру» информацию об утечке базы данных опровергли. Руководитель компании Андрей Вершинин через отраслевое СМИ пояснил, что «Слетать.ру» предоставляет ряду крупнейших туроператоров-партнеров доступ к истории запросов в поисковой системе. И предположил, что DeviceLock получила его: Андрей Вершинин отметил, что никаких доказательств столь серьезных обвинений «Слетать.ру» до сих пор не получила. , – добавил он.

В свою очередь в DeviceLock заявление А. Вершинина назвали клоунадой. Ашот Оганесян утверждает, что найденная база — с логов сервиса, и она содержит логины и пароли турагентств. Персональные данные туристов, включая паспорта, доступны в личном кабинете агентства, доступ в который открывается по найденным логинам и паролям. База также содержит данные о проведенных платежных транзакциях. В подтверждение своих слов технический директор выложил у себя на странице в Facebook скриншоты с кодом базы и аккаунта розничного дилера «Слетать.ру», на котором видны отчества его клиентов и замазаны графы, где должны быть указаны их имена и фамилии, номера телефонов, паспортные данные и другие сведения.

Ранее в журнале RTourNews.ru: Авиакомпания «Россия» сообщила о случаях мошенничества в сети.

НЕТ КОММЕНТАРИЕВ

ОСТАВЬТЕ ОТВЕТ

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.